Forschern aus dem Hause ESET ist es gelungen, eine bislang nicht dokumentierte Malware-Familie ausfindig zu machen, die den Namen KryptoCibule bekam. Der Trojaner verbreitet sich \u00fcber b\u00f6sartige Torrents und setzt auf verschiedenartige Methoden, um nicht entdeckt zu werden und m\u00f6glichst viele Kryptocoins von den Opfern zu stehlen.<\/p>\n
Es gibt im World Wide Web verschiedene Kryptow\u00e4hrungen: Bitcoins sind die wohl verbreitetsten, es existieren aber auch Monero oder Ethereum. Der Begriff \u201eMining\u201c kommt urspr\u00fcnglich aus dem Bergbau und beschreibt das Sch\u00fcrfen, sodass es zum Namensgeber wurde.<\/p>\n
Das Krypto-Mining nun k\u00f6nnen Sie sich als Prozess vorstellen, bei dem die Leistung der CPU oder GPU genutzt wird, um Kryptow\u00e4hrungen zu \u201esch\u00fcrfen\u201c. Man stellt die Rechenleistung zum Verarbeiten von Transaktionen, zum Absichern und Synchronisieren aller bestehenden Nutzer im jeweiligen Netzwerk zur Verf\u00fcgung \u2013 eine Art dezentrales Kryptow\u00e4hrungs-Rechenzentrum, an dem sich Miner aus der ganzen Welt beteiligen. F\u00fcr diese n\u00fctzlichen Dienste gibt es Belohnungen, wobei sich die Auszahlung der jeweiligen Kryptow\u00e4hrungsanteile danach richtet, wie viel Rechenkapazit\u00e4t zur Verf\u00fcgung gestellt wird.<\/p>\n
Anders als bei konventionellen W\u00e4hrungen wie dem Euro oder dem US-Dollar wird bei Kryptow\u00e4hrungen also kein Geld gedruckt; Kryptow\u00e4hrungen werden vielmehr selbst oder auch in der Cloud (\u201eCloud Mining\u201c) gesch\u00fcrft. Daf\u00fcr lassen sich speziell konstruierte Ger\u00e4te, z. B. von Bitmain oder auch Antminer, verwenden.<\/p>\n
Die ESET-Forscher haben verschiedene Versionen der Malware KryptoCibule entdeckt<\/a>. Diese Entwicklung lie\u00df sich bis Dezember 2018 zur\u00fcckverfolgen \u2013 KryptoCibule ist also schon eine Zeitlang aktiv. Die Malware zielt haupts\u00e4chlich auf Nutzer*innen der Tschechischen Republik und der Slowakei ab und wird \u00fcber infizierte Torrents verteilt. Die Forscher fanden fast alle b\u00f6sartigen Torrents auf der Site uloz.to; einer in Tschechien und der Slowakei sehr beliebten Filesharing-Site. Hier wird die Malware als infizierte ZIP-Datei heruntergeladen.<\/p>\n Oft tarnt sich KryptoCibule als Installationsprogramm, entweder f\u00fcr raubkopierte oder geknackte Games oder Software. Neben der Verbreitung der Malware KryptoCibule werden auch zus\u00e4tzliche Tools sowie Updates heruntergeladen. Die Forscher machten f\u00fcnf Dateien aus, die allen KryptoCibule-Installationsarchiven gemein waren. Hinter packed.001 verbirgt sich die Malware, packed.002 enth\u00e4lt die Installationsdatei f\u00fcr die heruntergeladene Software. Beide Dateien werden dekodiert, sobald Setup.exe durch den Nutzenden ausgef\u00fchrt wird.<\/p>\n Die Malware startet sodann im Hintergrund, w\u00e4hrend das Installationsprogramm sichtbar f\u00fcrs Opfer im Vordergrund gestartet wird. Einen Hinweis darauf, dass wom\u00f6glich etwas nicht stimmt, erh\u00e4lt der Nutzende nicht. Die Opferrechner k\u00f6nnen anschlie\u00dfend zum Seeding der Malware zur Verbreitung beitragen. Weiter wird das BitTorrent-Protokoll auch zum Download von Malware-Updates sowie zus\u00e4tzlicher Software genutzt.<\/p>\n KryptoCibule sucht speziell nach Sicherheitsprodukten von ESET, Avast oder AVG: ESET hat seinen Hauptsitz in der Slowakei, w\u00e4hrend Avast und AVG in Tschechien sitzen. Mit einer Vielzahl von Techniken gelingt es der Malware, ihre Erkennung durch Sicherheitsprodukte zu verhindern:<\/p>\n Wie die ESET-Forscher aufzeigen, besteht KryptoCibule aus drei Komponenten:<\/p>\n Krypto-Mining<\/strong><\/p>\n Aktuelle KryptoCibule-Varianten nutzen mit XMRig ein Open-Source-Tool, welches mit der CPU Monero abbaut. Einsatz findet auch das Open-Source-Programm kawpowminer: Damit wird Ethereum mithilfe der GPU erzeugt. Das zweite Programm nutzt KryptoCibule nur, wenn auf dem infizierten Host eine dedizierte Grafikkarte gefunden werden kann. Beide Tools stellen per Tor-Proxy eine Verbindung zu den Mining-Servern der f\u00fcr KryptoCibule Verantwortlichen her.<\/p>\n Gekaperte Zwischenablage<\/strong><\/p>\n Die zweite Komponente, aus der KryptoCibule besteht, tarnt sich als SystemArchitectureTranslation.exe. Mit der AddClipboardFormatListener<\/a>-Funktion k\u00f6nnen \u00c4nderungen in der Zwischenablage \u00fcberwacht werden; weiter k\u00f6nnen Ersetzungsregeln auf Inhalte angewandt werden. In \u00dcbereinstimmung mit dem Format der Kypto-Wallet-Adressen werden bestehende Adressen mit den Wallets der Malware-Betreiber ersetzt. T\u00e4tigt das Opfer Transaktionen, sollen diese somit in die Wallets der Malware-Betreiber wandern. Wird die Datei settings.cfg ge\u00e4ndert, sorgt ein FileSystemWatcher<\/a> f\u00fcrs Neuladen der Ersetzungsregeln.<\/p>\n Dateiexfiltrierung<\/strong><\/p>\n Die dritte Komponente von KryptoCibule hat die Aufgabe, das Dateisystem nach Dateinamen zu durchsuchen, die bestimmte Begriffe enthalten, beispielsweise \u201ewallat.dat\u201c. In aller Regel beziehen sich diese Begriffe also auf Kryptow\u00e4hrungen oder Miner, jedoch werden auch allgemeinere Begriffe wie etwa \u201ecrypto\u201c, \u201epassword\u201c oder \u201eseed\u201c gesucht. Die ESET-Forscher fanden dar\u00fcber hinaus auch einige Begriffe, die andere interessante Daten enthalten k\u00f6nnen, etwa \u201edesktop\u201c, \u201eprivate\u201c oder auch \u201e.ssh\u201c. Diese dritte Komponente sammelt die vollst\u00e4ndigen Pfade aller \u00fcbereinstimmenden Dateien, um die Liste dann an %C&C%\/found\/ zu senden.<\/p>\n Die ESET-Forscher vermuten, \u201edass dies im Zusammenspiel mit dem SFTP-Server geschieht, der als Onion-Dienst auf Port 9187 ausgef\u00fchrt wird. Dieser Server erstellt Zuordnungen f\u00fcr jedes verf\u00fcgbare Laufwerk und stellt sie mithilfe der in der Malware fest codierten Anmeldeinformationen zur Verf\u00fcgung. Die gesammelten Pfade k\u00f6nnen somit zur Datei-Exfiltrierung verwendet werden. Dazu m\u00fcssen sie von einem vom Angreifer kontrollierten Computer \u00fcber SFTP vom infizierten Host angefordert werden.\u201c<\/p>\n Weiter installiert KryptoCibule einen legitimen Apache-httpd-Server. Aufgrund seiner Konfiguration kann dieser einschr\u00e4nkungslos als Forward-Proxy eingesetzt werden und als Onion-Dienst via Port 9999 erreichbar sein.<\/p>\n <\/p>\n Torrent-Dateien, wie die Malware KryptoCibule kommen vorrangig auf Filesharing-Plattformen zum Einsatz \u2013 aber nicht nur! Es hei\u00dft also nicht, dass Sie nicht in Gefahr sind, nur weil Sie Online-Tauschb\u00f6rsen bislang nicht genutzt haben. Die Risiken, die beim Download von Torrent-Dateien entstehen, sind vielen Nutzer*innen nicht bewusst.<\/p>\n Deshalb gilt auch dann, wenn Sie keine Filesharing-Plattformen aufsuchen: Seien Sie wachsam! Nach wie vor ist der beste Malware-Schutz die Pr\u00e4vention:<\/p>\n Investieren Sie nicht nur in gute Firewalls und Sicherheitssoftware, sondern sorgen Sie auch f\u00fcr die Sensibilisierung Ihrer Mitarbeiter*innen<\/a> und tragen Sie Sorge daf\u00fcr, dass Ihre Systeme immer auf dem neusten Stand sind.<\/p>\nAntiviren-Programme werden umgangen<\/h3>\n
\n
Komponenten von KryptoCibule<\/h3>\n
KryptoCibule: So sch\u00fctzen Sie sich<\/h2>\n
\n